微软安全公告：MS03-007 (MS,补丁)—2003-3-18

加州旅馆

微软安全公告：MS03-007 (MS,补丁)
  
涉及程序： Windows 2000 IIS 5.0
  
描述： Windows组成部分WebDAV存在未经检测的缓冲器
  
详细：
Windows 2000 支持Web分布式创作和版本控制(WebDAV)协议。WebDAV定义于RFC 2518，是一组对HTTP协议的扩展，向在Internet上的计算机提供标准编辑和文件管理。由于WebDAV包含一个未经检测的缓冲器，导致存在安全缺陷。

攻击者通过向运行IIS的目标机器发送一个精心构造的临时HTTP请求能触发该缺陷，将导致服务器失效或在IIS服务器(缺省情况下为LocalSystem context)的security context中运行任意代码。

该缺陷只影响Windows 2000的IIS 5.0。Windows NT的IIS 4.0和Windows XP的IIS 5.1不受此缺陷影响。

缓解因素：
·缺省配置的IIS Lockdown工具URLScan能阻止攻击者使用该缺陷
·如果攻击者能使用受影响的服务器建立一个WEN会话，该缺陷只能被远程使用

  
攻击方法：
暂无有效攻击代码
  
解决方案：
目前厂商以公布该缺陷补丁，请用户及时下载安装：
中文版补丁下载（http://download.microsoft.com/do ... K_sp4_x86_CN.EXE）

英文版补丁下载（http://download.microsoft.com/do ... K_sp4_x86_EN.EXE）
  
附加信息：
CAN-2003-0109